phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Security Bugs

https://www.phpbb.de/community/viewtopic.php?t=15790

Seite 1 von 2

Security Bugs

Verfasst: 07.10.2002 17:35
von Dwing
Wenn jemand die Hacks benutzt, sollte er sich unbedingt diese Postings durchlesen:

Offenbar Sicherheitsproblem im YellowCard MOD
http://www.phpbb.de/viewtopic.php?t=15680

Sicherheitsloch im Custom Mass PM Mod!!
http://www.phpbb.de/viewtopic.php?t=13300

Bugfix für Gender Hack (behebt ein Sicherheitsloch)
http://www.phpbb.de/viewtopic.php?t=12896

Links nicht arg hilfreich

Verfasst: 13.10.2002 22:32
von Pumi
Die beiden unteren Links sind nicht so arg hilfreich -> "das gewählte Thema oder der Beitragexistiert nicht"

Schade eigentlich

Verfasst: 13.10.2002 22:51
von Mister_X
jau leider war hier ja vor kurzem ein Forenpruning wo einiges verschwunden ist

Verfasst: 19.10.2002 01:18
von Karle
Ähm...ich will ja nicht nörgeln, aber könnten die Bugfixes nicht mal hier reingestellt werden? Manch einer benötigt das evtl. noch...

Verfasst: 19.10.2002 09:15
von Acid
Naja, reicht auch, wenn man einfach die neuesten Versionen benutzt... :wink:

° Card Ban System

° Custom Mass PM

° Gender Hack

Verfasst: 17.11.2002 01:04
von Acid
Jeder der den Advanced Quick Reply Hack (von RustyDragon) benutzt, sollte diesen vorerst ausbauen, da dieser ein Sicherheitsloch enthält.

Durch´n kleinen Fehler im Code kann man von aussen über die quick_reply.php die DB-Zugangsdaten auslesen.
Es ist zwar scho ein Fix bekannt, aber noch ned 100%ig geprüft...

Verfasst: 20.11.2002 13:48
von Acid
Ok, der Advanced Quick Reply Hack ist wieder "sicher". :wink:

quick_reply.php
++FINDE++

Code: Alles auswählen

if ( $mode == 'smilies' )
{
++DAVOR EINFÜGEN++

Code: Alles auswählen

$phpbb_root_path = "./";

Verfasst: 22.11.2002 19:33
von Dwing
und noch mehr:

Eine mail von Niels Chr. Denmark (oder wie er heißt ;))
I have to discovered a potential security risk in my Auto group mod
guest users will be at pressent time added to a autogroup, some users may wish this to happen, but I consider this a a security risk, and have therefor change the behaiver of this mod

users witch have installed either the Auto group mod, or a previous version of the pre-loaded pack are adviced to read this post
http://mods.db9.dk/viewtopic.php?p=3714#3714

witch will show how to upgrade, and remove this isue

Verfasst: 17.05.2003 11:58
von AWSW
Hallo,
habe heute diese Mail von Niels erhalten, die auf einen Bug im Birthday MOD hinweist:
Die folgende Email erhältst du von einem Administrator von mods.db9.dk. Wenn diese E-Mail unerwünschten Inhalt (Spam) enthält, dann kontaktiere bitte den Webmaster unter:

ncr@db9.dk

Schick dazu bitte die ganze Nachricht, Header inklusive, mit.

Die Nachricht findest du hier:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

the how-to for birthday mod PART version 1.3.14 did have a potential security bug - this ONLY apply to version 1.3.14 witch have been pressent this version have been availble for download until now in may 2003

the bug would in special cases allow users to have admin access at your forum, in most cases this would not have happend, but the bug must be corrected to avoid future problems

if you have installed this version, please read this posts
http://mods.db9.dk/viewtopic.php?p=9120#9120

the post following rigth after will show how to run a SQL witch will make shure no users have already got admin access

Verfasst: 23.11.2003 19:38
von Peggy
Hi, ich habe diesen Birthday-Mod eingebaut, Version 1.5.2.

Ich habe sehr konzentriert gearbeitet um keinen Fehler zu machen.
Vor allem nicht an dieser Stelle:

Code: Alles auswählen

#
#-----[ FIND ]------------------------------------------
#
# NOTIS - IMPORTENT SECURITY RISK
#
# If you some how do not preform the following VERY carefully you have the
# potential to compromise your forum SECURITY, your users may easyly get ADMIN access if you make mistake
# meny users do make mistake in the step, so please be very careful
#
$sql = "INSERT INTO " . USERS_TABLE . "
VALUES ($user_id,

#
#-----[ IN-LINE FIND ]------------------------------------------
#
, user_active, user_actkey,)
VALUES

#
#-----[ IN-LINE BEFORE, ADD ]------------------------------------------
#
, user_birthday, user_next_birthday_greeting

#
#-----[ IN-LINE FIND ]------------------------------------------
#
,";

#
#-----[ IN-LINE BEFORE, ADD ]------------------------------------------
#
,'$birthday','$next_birthday_greeting'
Doch trotzdem ist der Bug aufgeteten. Neue User, die sich bei mir registrieren sind automatisch Admins :(

Ich habe nochmal alles durchgeschaut und nach Fehlern gesucht, aber keine gefunden.

Könnt Ihr mal meine "usercp_register.txt" checken?
http://www.peggy-para.de/Privat/usercp_register.txt

Bin für Hilfe sehr dankbar!
Alle Zeiten sind UTC+01:00
Seite 1 von 2

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de